欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問(wèn)題(漏洞預(yù)警)

 更新時(shí)間:2019年11月26日 09:59:06   作者:獨(dú)孤風(fēng)  
這篇文章主要介紹了Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問(wèn)題,本文給出了修復(fù)建議和解決方案,需要的朋友可以參考下

漏洞描述

Apache Flink是一個(gè)用于分布式流和批處理數(shù)據(jù)的開(kāi)放源碼平臺(tái)。Flink的核心是一個(gè)流數(shù)據(jù)流引擎,它為數(shù)據(jù)流上的分布式計(jì)算提供數(shù)據(jù)分發(fā)、通信和容錯(cuò)功能。Flink在流引擎之上構(gòu)建批處理,覆蓋本地迭代支持、托管內(nèi)存和程序優(yōu)化。近日有安全研究人員發(fā)現(xiàn)apache flink允許上傳任意的jar包從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

漏洞級(jí)別

高危

影響范圍

Apache Flink <=1.9.1

漏洞復(fù)現(xiàn)

首先下載Apache Flink 1.9.1安裝包并進(jìn)行解壓,之后進(jìn)入bin文件夾內(nèi)運(yùn)行./start-cluster.sh啟動(dòng)環(huán)境,瀏覽器訪問(wèn)http://ip:8081驗(yàn)證是否成功,如下圖所示:

接著使用生成jar的木馬文件并進(jìn)行上傳,如下圖所示:

開(kāi)啟msf進(jìn)行監(jiān)聽(tīng)并點(diǎn)擊提交,可看到成功返回一個(gè)shell。如下圖所示:

修復(fù)建議

建議用戶關(guān)注Apache Flink官網(wǎng),及時(shí)獲取該漏洞最新補(bǔ)丁。

臨時(shí)解決建議

設(shè)置IP白名單只允許信任的IP訪問(wèn)控制臺(tái)并添加訪問(wèn)認(rèn)證。

漏洞檢測(cè)方法

目前github已有相應(yīng)公開(kāi)的檢測(cè)poc,如下圖所示:

鏈接:https://github.com/LandGrey/flink-unauth-rce

總結(jié)

以上所述是小編給大家介紹的Apache Flink 任意 Jar 包上傳導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)問(wèn)題,希望對(duì)大家有所幫助,如果大家有任何疑問(wèn)請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持!
如果你覺(jué)得本文對(duì)你有幫助,歡迎轉(zhuǎn)載,煩請(qǐng)注明出處,謝謝!

相關(guān)文章

最新評(píng)論